Система Реагирования на Угрозы, Нападения и Атаки (РУНА), разработки компании «Сайбер ОК», относится к классу обнаружения и реагирования на целенаправленные атаки уровня узла (Endpoint Detection and Response, EDR). РУНА обеспечивает мониторинг, анализ и реагирование на активность, которая может быть подозрительной или нежелательной. РУНА помогает оперативно выявлять инциденты, преодолевшие другие эшелоны защиты, и позволяет быстро и эффективно реагировать на них.
Применение РУНА позволяет решать следующие задачи:
• Мониторинг конечных точек: РУНА использует агенты, работающие на конечных устройствах, для сбора данных о действиях и отправки их на сервер для анализа.
• Обнаружение угроз: РУНА использует различные методы обнаружения угроз, включая анализ событий, трассировку системы и процессов, анализ поведения.
• Реагирование на угрозы: РУНА предоставляет инструменты для реагирования на обнаруженные угрозы, включая триаж, расследование, карантин и блокировку.
• Управление политиками: РУНА позволяет создавать и управлять политиками безопасности для конечных устройств, чтобы обеспечить соответствие требованиям безопасности.
• Автоматизация: РУНА имеет возможность автоматизировать ответные действия и рабочие процессы, чтобы быстро и эффективно реагировать на инциденты.
Ключевыми преимуществами РУНА является:
• Мультиплатформенность. Поддержка операционных систем семейств Windows, Linux, MacOS.
• Возможности XDR и MDR. Сбор информации с инфраструктуры и сетевых устройств. Поддержка облачных и MSSP сценариев внедрения.
• Поддержка ипортозамещения. Продвинутые механизмы выявления атак для серверов и рабочих станций Linux, включая дистрибутивы отечественных разработчиков.
• Современные инфраструктуры. Поддержка виртуализации и контейнеризации, включая Docker, Kubernetes.
Система РУНА является коммерческим вариантом открытой платформы SOLDR, адаптированной под масштабные внедрения в рамках провайдеров услуг по модели «безопасность как сервис» (MSSP). Ключевыми отличиями коммерческой версии является:
• расширенная база знаний, правил выявления угроз;
• оперативное обновление IOC и правил корреляции;
• самозащита и противодействие искажению данных;
• сбор событий с сетевых устройств;
• обогащение данных с инфраструктурных сервисов;
• дополнительные механизмы триажа.